You are hereГруппы / Безопасность / Замкнутый круг (не)безопасности
Замкнутый круг (не)безопасности
За последние годы серьезные усилия специалистов по информационной безопасности были направлены на то, чтобы улучшить состояние безопасности информационных активов, принадлежащих организациям, их работникам, клиентам и партнерам. Но за все это время, надо честно признать, ситуация вряд ли стала лучше. Появились и исчезли производители различных средств безопасности, была запущена и завершена масса проектов, поработали и ушли множество консультантов, а мы по-прежнему не можем достоверно ответить на вопрос, в каком состоянии с точки зрения реальной безопасности находятся наши системы. Я не хочу сказать, что вся та инфраструктура безопасности, которая была создана за эти годы, не повысила уровень защиты, дело в другом. Каждый раз когда мы поднимаем планку защиты, киберпреступники находят способ ее преодолеть.
Проблема в этой ситуации, как и в случае гонки вооружений в период "холодной войны", в том, что никто не выигрывает,... кроме тех, кто продает бомбы . Более того, серьезно повышается шанс проиграть, истратив все имеющиеся средства и другие доступные ресурсы. Это как раз и стало причиной окончания "холодной войны". Ни одна из сторон не хотела продолжать тратить деньги на бессмысленную гонку. Проводя параллели с текущей ситуацией, в которой оказывается большинство менеджеров по информационной безопасности, хочу сказать - "Вы проиграете!". Вы это знаете, я это знаю и киберпреступники тоже это знают.
Не у многих организацией бюджеты на безопасность растут год от года в условиях текущей нестабильной экономической ситуации, более того могу с уверенностью сказать, что у большинства они сокращаются в том числе из-за слабого понимания руководством аспектов обеспечения информационной безопасности.
Информационная безопасность, хотим мы себе в этом признаться или нет, похожа на страхование жизни. Организации, пока все идет хорошо, слишком заняты зарабатыванием денег, чтобы заниматься этим вопросом, а когда случаются неприятности, становится уже слишком поздно.
Существует не так много людей (как в целом в отрасли, так внутри организаций), способных пропагандировать понимание того, какую бизнес-ценность способна дать информационная безопасность. И это плохо, потому что чем меньше мы можем объяснить руководству нашу ценность для бизнеса, тем меньшую долю инвестиций мы получаем, и все это в конечном итоге приводит к тому состоянию, в котором мы находимся в настоящий момент.
Вот как это выглядит:
• руководство организаций не видит безопасность как функцию, дающую бизнес-ценность
• в связи не делаются усилия для поиска и наем нужных специалистов на критические роли
• это приводит к тому, что практически ничего не делается для того, чтобы улучшить информационную безопасность как функцию от риск-менеджмента
• происходит серьезный инцидент информационной безопасности
• на разбор и устранение последствий инцидента уходит огромное количество времени, денег и человеческих ресурсов
• руководство задает вопрос "Почему наша служба информационной безопасности не смогла это предотвратить?"
• ценность безопасности для бизнеса становится еще меньше
• ... теперь возвращаемся в начало списка (круг замкнулся)...
Этот депрессивный взгляд на проблему может вызвать вполне резонный вопрос - "И как же выйти из этого замкнутого круга ? По моему мнению выход есть и он не потребует десятикратного увеличения бюджета на информационную безопасность. Он потребует только объединения усилий ваших поставщиков средств и сервисов по информационной безопасности, вашего руководства и вас как менеджеров по информационной безопасности. Давайте я поясню, что я имею ввиду.
Во-первых мне кажется, что мы должны изменить свой взгляд на информационную безопасность. В настоящий момент инфобезопасность - это инструмент для решения отдельных проблем. Многие руководители служб информационной безопасности, с которыми мне довелось общаться, указывали на то, что им приходится иметь дело с огромным количеством производителей средств защиты, каждый из которых решает некую узкую задачу и при этом практически никак не интегрируется с другими механизмами безопасности с целью практического снижения существующих рисков.
Возьмем к примеру антивирус. Как это решение взаимодействует с другими средствами защиты, используемым в вашей организации ?
Настало время производителям средств защиты выступить с цельными, комплексными решениями, способными обеспечить потребность в минимизации возросших рисков. Точечные решения - это уже прошлый век, они не работают. Более того, следует обеспечить возможность осознанного принятия решений в отношении имеющихся рисков на основе аналитики, предоставляемой как существующими техническими решениями, так и взятой из внешних источников. Если вы не получаете никакой риск-ориентированной аналитики от используемых технических решений настало время задать вопрос производителям этих средств защиты, либо задуматься над тем, как обеспечить себя необходимой аналитикой.
Во-вторых мне кажется настал момент подумать иначе над тем, что мы делаем с точки зрения информационной безопасности. Мы больше не стражники крепостных стен (а может быть никогда ими и не были), за которыми спрятаны ценные активы нашей компании. Настало время сесть с бизнесом за стол переговоров и выяснить наконец как безопасность может интегрироваться с бизнес-целями организации. В этой идее нет ничего революционного, я согласен, но до настоящего времени этого никто так и не делает. Функция безопасности по-прежнему слабо связана с общими целями организаций, а специалисты по информационной безопасности по-прежнему слишком ориентированы на технологии, вместо того, чтобы сконцентрироваться на той ценности, которую они могут дать бизнесу.
Мне кажется, что специалистам по информационной безопасности требуется стать в определенном смысле бизнес-аналитиками, изучить различные аспекты корпоративного управления, а уже потом переходить к вопросам применения технологии информационной безопасности. Разобраться в технологии - легко, применить ее в реальном бизнесе - не просто.
Нужно начать думать не над тем, какую еще "передовую" технологию закупить, а над тем, что нужно сделать для решения проблем безопасности в контексте имеющихся бизнес-задач.
© xakepy.cc
Похожие материалы
- В белорусской столице обсудят вопросы безопасности
- eScan: Руководители малого бизнеса переоценивают свой уровень информационной безопасности
- Softline назначила Вячеслава Железнякова руководителем информационной безопасности
- Исполнительный председатель RSA призвал компании усилить безопасность своих систем
- IV Межбанковская конференция по информационной безопасности состоится в формате Уральского форума
Отправить комментарий